Nueva Campaña de Malvertising Distribuye PikaBot Disfrazado como Software Popular

XPoint
Publicado el 19/12/2023

Campaña de Malvertising El cargador de malware conocido como PikaBot se está distribuyendo como parte de una campaña de malvertising dirigida a usuarios que buscan software legítimo como AnyDesk.

«Anteriormente, PikaBot solo se distribuía a través de campañas de malspam de manera similar a QakBot y surgió como una de las cargas preferidas para un actor de amenazas conocido como TA577», señaló Jérôme Segura de Malwarebytes.

Esta familia de malware, que apareció por primera vez a principios de 2023, consta de un cargador y un módulo central que le permite operar como una puerta trasera y como distribuidor de otras cargas.

Esto permite a los actores de amenazas obtener acceso remoto no autorizado a sistemas comprometidos y transmitir comandos desde un servidor de comando y control (C2), que van desde shellcode arbitrario, DLL o archivos ejecutables, hasta otras herramientas maliciosas como Cobalt Strike.

UPCOMING WEBINAR Vence a las Amenazas Potenciadas por IA con Confianza Cero – Webinar para Profesionales de Seguridad Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de la Seguridad de Confianza Cero. Asegura tus datos como nunca antes.

Unirse ahora Uno de los actores de amenazas que aprovecha PikaBot en sus ataques es TA577, un prolífico actor de amenazas cibernéticas que ha entregado anteriormente QakBot, IcedID, SystemBC, SmokeLoader, Ursnif y Cobalt Strike.

El mes pasado, se descubrió que PikaBot, junto con DarkGate, se propaga a través de campañas de malspam de manera similar a QakBot. «La infección de Pikabot condujo a Cobalt Strike en 207.246.99[.]159:443 utilizando masterunis[.]net como su dominio», reveló recientemente Palo Alto Networks Unit 42.

El vector de infección inicial más reciente es un anuncio malicioso de Google para AnyDesk que, cuando un usuario hace clic desde la página de resultados de búsqueda, redirige a un sitio web falso llamado anadesky.ovmv[.]net que apunta a un instalador MSI malicioso alojado en Dropbox.

Es importante señalar que la redirección al sitio web falso solo ocurre después de identificar la solicitud, y solo si no proviene de una máquina virtual.

«Los actores de amenazas están eludiendo las verificaciones de seguridad de Google con una URL de seguimiento a través de una plataforma de marketing legítima para redirigir a su dominio personalizado detrás de Cloudflare», explicó Segura. «En este punto, solo las direcciones IP limpias se envían al siguiente paso».

Curiosamente, se realiza una segunda ronda de identificación cuando la víctima hace clic en el botón de descarga en el sitio web, probablemente en un intento adicional de asegurarse de que no sea accesible en un entorno virtualizado.

Malwarebytes dijo que los ataques recuerdan a cadenas de malvertising previamente identificadas utilizadas para diseminar otro malware cargador conocido como FakeBat (también llamado EugenLoader).

Campaña de Malvertising «Esto es particularmente interesante porque apunta a un proceso común utilizado por diferentes actores de amenazas», dijo Segura. «Quizás, esto sea algo similar a ‘malvertising como servicio’, donde se proporcionan anuncios de Google y páginas de engaño a distribuidores de malware».

Esta revelación se produce cuando la empresa de ciberseguridad informa que detectó un aumento en anuncios maliciosos a través de búsquedas en Google de software popular como Zoom, Advanced IP Scanner y WinSCP para entregar un cargador nunca antes visto llamado HiroshimaNukes, así como FakeBat.

«Utiliza varias técnicas para eludir la detección, desde la carga lateral de DLL hasta cargas muy grandes», dijo Segura. «Su objetivo es dejar malware adicional, típicamente un ladrón seguido de la exfiltración de datos».

Cybersecurity El aumento en el malvertising indica cómo los ataques basados en el navegador actúan como canales para infiltrarse en redes objetivo. Esto también incluye un nuevo marco de extensión de Google Chrome denominado ParaSiteSnatcher, que permite a los actores de amenazas «supervisar, manipular y exfiltrar información altamente sensible de múltiples fuentes».

Diseñada específicamente para comprometer a usuarios en América Latina, la extensión maliciosa es notable por su uso de la API del navegador Chrome para interceptar y exfiltrar todas las solicitudes POST que contienen información de cuentas y financieramente sensible. Se descarga a través de un descargador VBScript alojado en Dropbox y Google Cloud e se instala en un sistema infectado.

«Una vez instalada, la extensión se manifiesta con la ayuda de permisos extensos habilitados a través de la extensión de Chrome, lo que le permite manipular sesiones web, solicitudes web y rastrear interacciones del usuario en múltiples pestañas mediante la API de pestañas de Chrome», dijo Trend Micro el mes pasado.

«El malware incluye varios componentes que facilitan su operación, scripts de contenido que permiten la inyección de código malicioso en páginas web, monitorean las pestañas de Chrome, interceptan la entrada del usuario y la comunicación del navegador web».

Preguntas frecuentes

¿Qué es Malvertising?

+

Malvertising es una combinación de las palabras «malicious» (malicioso) y «advertising» (publicidad). Se refiere a la práctica de distribuir malware (software malicioso) a través de anuncios en línea. Los ciberdelincuentes utilizan anuncios maliciosos para difundir software malicioso y comprometer sistemas informáticos.

En un ataque de malvertising, los anuncios contaminados pueden aparecer en sitios web legítimos y populares. Estos anuncios pueden contener scripts o enlaces que redirigen a los usuarios a sitios web maliciosos o descargan malware directamente en el dispositivo del usuario, sin que este se dé cuenta.

Los anuncios maliciosos pueden aprovechar diversas vulnerabilidades, como vulnerabilidades en el software del navegador o en complementos, para ejecutar código malicioso en el dispositivo del usuario. También pueden utilizarse para dirigir a los usuarios a sitios web fraudulentos que intentan robar información personal o credenciales de inicio de sesión.

La malvertising es una táctica efectiva para los ciberdelincuentes, ya que pueden alcanzar a un gran número de usuarios al aprovechar la confianza que muchos depositan en sitios web legítimos. Para protegerse contra la malvertising, es importante mantener actualizado el software, utilizar programas antivirus y tener precaución al hacer clic en anuncios y enlaces, especialmente en sitios web de dudosa procedencia.

¿Qué es Pikabot?

+

PikaBot es un malware más reciente, visto por primera vez en 2023, que consta de un cargador y un módulo central, incorporando amplios mecanismos anti-depuración, anti-VM y anti-emulación.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos